Araştırmacılar, Hacker'ların platformun Sistem Yöneticisi (SSM) temsilcisini tespit edilemez bir uzaktan erişim Truva (RAT) olarak kullanmasına izin veren Amazon Web Services (AWS) 'de yeni bir sömürü sonrası tekniği keşfettiler.
Mitiga'daki güvenlik araştırmacıları tarafından tasarlanan saldırı konsepti, hem Windows hem de Linux makinelerini etkiler ve kötüye kullanımı güvenlik yazılımı tarafından daha az tespit edileceği için ortak kötü amaçlı yazılım ve backdoors kullanmayı tercih eder.
Mitiga, "Tehdit aktörlerinin bunu zaten yapmazlarsa gerçek dünya saldırılarında kötüye kullanacağına inanıyoruz."
AWS Systems Manager (SSM), yöneticiler tarafından EC2 örneklerini, şirket içi sunucuları veya sanal makineleri içeren AWS ekosistemlerinin yapılandırma, yama ve izleme için kullanılan Amazon imzalı ikili ve kapsamlı bir uç nokta yönetim sistemidir.
Yeni AWS örneklerini başlatmak için kullanılabilecek birçok popüler işletim sistemi şablon görüntüsü (AMI) üzerine önceden yüklenmiş çok popüler bir araçtır. Bu nedenle, saldırganlar yeni saldırı yüzeyinin istismar edilebileceği geniş bir ev sahibi havuzuna sahiptir ve diğerleri daha önce 2019 ve 2021'de SSM ile ilgili endişelerini dile getiriyor.
Mitiga'nın keşfi, SSM aracısının, bir EC2 örneğinin sınırları dahilinde bile "hibrid" modunda çalışacak şekilde yapılandırılabilmesidir ve saldırgan kontrollü AWS hesaplarından varlıklara ve sunuculara erişime izin verir.
SSM'yi hibrid modda yaparak yapılandırırken, bir AWS hesabının şirket içi sunucular, AWS IoT cihazları ve diğer bulut ortamlarında olanlar da dahil olmak üzere sanal makineler de dahil olmak üzere EC2 olmayan makineleri yönetmesine izin verir.
"Araştırmamızda, bir SSM ajanının sadece Amazon Elastik Hesaplama Bulutu (EC2) örneklerinde değil, aynı zamanda EC2 olmayan makine türlerinde (kendi tesislerinizdeki sunucular ve VM'ler de dahil olmak üzere sanal makinelerde sunucular da çalıştırma yeteneğine odaklandık. diğer bulut ortamlarında), "Mitiga'nın güvenlik danışmanlığı.
"Bu özelliği, bir EC2 örneğinde çalışsa bile" Hibrid "modunda çalışacak bir SSM aracısı kaydederek kötüye kullandık."
Ayrıca, BASH komutları SSM temsilcisinin tehlikeye atılan EC2 ortamıyla ilişkili olmayan AWS hesaplarını kullanarak komutları iletişim kurmasına ve yürütmesine izin verir. SSM'nin proxy özelliği, ağ trafiğini herhangi bir AWS altyapısının dışına çıkarmak için de istismar edilebilir.
"SSM hizmetini kötüye kullanmanın benzersiz bir yolunu bulduk ve tam entegre bir Truva Altyapısı olarak sorunsuz bir şekilde çalışmasına izin verdik ve uç noktadaki aracı, orijinal AWS hesabından farklı AWS hesabıyla (saldırgan tarafından kullanılabilecek) iletişim kurmasını sağladık. , "diye açıklıyor mitiga
"Ayrı, kötü niyetli bir AWS hesabından komutlar yürüterek, SSM ajanı tarafından yürütülen eylemler orijinal AWS hesabında gizli kalacak ve kötü niyetli etkinliği zekâlı algılama sürecini yapacak."
Mevcut SSM ajanlarını ele geçirmek, izin eksikliği nedeniyle ulaşılamazsa, bilgisayar korsanları mevcut süreçlere paralel çalışan ve saldırganlara "çalıştırma" özelliğine erişim sağlayan başka bir SSM aracı işlemini çalıştırabilir.
Bununla birlikte, daha fazla iz bıraktığı için saldırının tespit edilmesi daha kolaydır ve kalıcılık oluşturmak zorlaşır.
SSM Temsilcisinin kötüye kullanılması, saldırganların AWS hesaplarını algılanmadan komutları uzaktan yürütmeleri için ihlal etmelerini sağlar, çünkü trafik ajanlar tarafından üretilen normal etkinlik gibi görünür.
Sıkıştırma sonrası yöntemini Amazon'a açıkladıktan sonra AWS güvenlik ekibi, Systems Manager için VPC uç noktasını kullanarak EC2 örneklerindeki komutların alınmasını, orijinal AWS hesabını veya kuruluşu onaylanan tek kaynak olarak ayarlamanın mümkün olduğunu söyledi.
Ayrıca Mitiga, SSM ajanının antivirüs veya EDR çözümlerinin izin listesinden çıkarılmasını ve raporunda sunulan algılama tekniklerini SIEM ve Soar platformlarınıza entegre etmeyi önermektedir.
Mitiga'nın raporu, "SSM ajanı ile ilişkili yaygın popülerlik ve ilk güven, kuruluşların bu yeni tekniği azaltmak için derhal harekete geçme ihtiyacını artırıyor."
Romcom Hacker'ları kimlik avı saldırılarında NATO zirvesi katılımcılarını hedef
Bu 49 dolarlık kurs anlaşmasında AWS kariyeri için ihtiyacınız olan eğitimi alın
Kuzey Koreli Andariel Hacking Group'a bağlı yeni EarlyRat kötü amaçlı yazılım
Yeni 'PowerDrop' PowerShell kötü amaçlı yazılım hedefleri ABD havacılık endüstrisi
Yeni Microsoft Azure AD CTS özelliği yanal hareket için kötüye kullanılabilir
Kaynak: Bleeping Computer